Schlüsselfragen

Kommt jetzt die Krypto-Renaissance?

Ein Geständnis vorweg: Vor 14½ Jahren hatte ich ein T-Shirt mit meiner achtstelligen PGP-Key-ID. Das war allerdings eher Kryptik als Kryptografie, denn dafür hätte es eigentlich der 40-stellige PGP-Fingerabdruck sein sollen, aber egal: Ich hatte mir die Mühe gemacht, mich so weit hineinzufuchsen in die asymmetrische Kryptografie, dass ich Dinge hätte verschlüsseln, entschlüsseln und unterschreiben können.

14½ Jahre später gibt es glücklicherweise kein Foto mehr von diesem T-Shirt, und in den Wirren der Computerwechsel und im Wandel der Speichermedien ist der Schlüssel von damals weg. Die Zahl der Menschen, die mit mir in dieser Zeit verschlüsselt kommunizieren wollten, war genau null.

Vier Schlüsselrohlinge in bunten Mustern
(Foto CC-by-nc-sa Leo Reynolds)

Jetzt, im Post-Snowden-Zeitalter, nach Prism, Tempora, Boundless Informant und weiteren NSA-Enthüllungen, fühlt sich die Lage anders an, und wie es jetzt weitergehen soll, wird heftig diskutiert.

Edward Snowden selbst ist ein Kind seiner Zeit. Er hat gar nicht erst geglaubt, dass er unerkannt bleiben, ein normales Leben führen kann. Er hat auch nicht daran geglaubt, dass jemand für die grenzenlose Überwachung vor Gericht kommen wird. Im E-Mail-Interview mit Jacob Appelbaum und Laura Poitras (Spiegel 28/2013) setzt er stattdessen auf die Tech-Firmen und ihre Kundinnen und Kunden: „Die Unternehmen sollten einklagbare Klauseln in ihre Nutzungsbedingungen schreiben, die ihren Kunden garantieren, dass sie nicht ausspioniert werden. Und sie müssen technische Sicherungen einbauen.“ Es gibt laut Snowden auch Unternehmen, die nicht mit der NSA kooperierten. „Es würde jedoch sicher mehr Firmen dieser Art geben, wenn die kollaborierenden Konzerne von den Kunden abgestraft würden. Das sollte höchste Priorität aller Computernutzer sein, die an die Freiheit der Gedanken glauben.“

Darüber hinaus glaubt Snowden ganz offensichtlich noch an etwas anderes: Verschlüsselung. Den Kontakt zu den Medien hatte er über verschlüsselte E-Mails aufgenommen, und in einer Frage-Runde beim Guardian schrieb er: „Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

Vor diesen Hoffnungsschimmer schiebt sich aber natürlich auch eine schwarze Wolke: „Meistens sind die Metadaten wertvoller als der Inhalt der Kommunikation“ (Snowden im Spiegel-Interview). Dann nützt also auch nicht viel, dass der Inhalt verschlüsselt ist?

Das Verführerische an Kryptografie ist, dass sie manchmal als technische Lösung für ein gesellschaftliches, ein politisches Problem gesehen wird. Das Dumme an E-Mail-Kryptografie-Lösungen ist, dass sie auch heute für durchschnittlich versierte Userinnen und User eine ziemliche Herausforderung sind: Beim weltumspannenden OffshoreLeaks-Projekt sind einige der Journalistinnen und Journalisten schlicht an PGP gescheitert, und stattdessen wurde ein gut abgesichertes Forum zur Kommunikation genutzt. Aber Frank Rieger vom CCC – jemand, der von angewandter Kryptografie nun wirklich viel versteht, – sagt auch: „Dass GPG-Mailcrypto doof ist und vermutlich bleiben wird, ist kein Grund für generellen Crypto-Usability-Pessimismus und Gejammer.“

Auch wenn die Usability besser wird, bleibt Kryptografie für durchschnittlich versierte Userinnen und User eine Frage des Vertrauens. Dass diese drei Zeilen Code-Änderungen den Unterschied zwischen einem sicheren und einem nicht so sicheren Gruppen-Chat ausmachen, können sie nicht wissen.

Ärgerlicherweise liegt auch Mario Sixtus nicht völlig falsch, wenn er Verschlüsselung als gefährliche Scheinlösung brandmarkt: „Wer Verschlüsselung als Mittel gegen Prism et al propagiert, kann auch gleich zu Clownsmasken gegen Videoüberwachung raten.“

Nein, Verschlüsselung ist nicht das Mittel gegen Prism. Aber dass Mario Sixtus überhaupt weiß oder ahnt, was Prism ist, das hat er Verschlüsselung zu verdanken.

Früher hätte man ganz einfach so lange für Mehrheiten geworben, bis der Staat irgendwas tut oder verbietet. Hier handeln ja aber schlecht kontrollierte Geheimdienste mehrerer Staaten im Verbund. Falk Steiner hat das als völkerrechtlich wie politisch-theoretisches Problem erster Güterklasse bezeichnet und sieht zwei Auswege, die beide nicht sehr wahrscheinlich klingen: Entweder internationale Standards für die Überwachung schaffen oder als Staat aus der Kooperation aussteigen, auf die Erkenntnisse verzichten und auf sichere Kommunikation setzen.

Wie zu erwarten war: Hier kommt heute keine Lösung mehr. Ein Rückzug aus dem Netz steht überhaupt nicht zur Debatte, ein sensibler Umgang mit sensiblen Daten ist als gute Idee keine Neuigkeit. Dazu kommt aber vermutlich noch ein bisschen mehr digitale Selbstverteidigung in Form von Kryptografie. Ein neues notwendiges Übel im Umgang mit dem Netz, genau wie alle lernen mussten, mit Spam-Mails umzugehen oder bei Facebook die schlimmsten Vorgaben zu verändern. Das ist, wie gesagt, keine Lösung des Problems, aber zumindest ermöglicht es vielleicht, ein bisschen freier zu kommunizieren, um der Problemlösung näher zu kommen.

(Hier ist mein Schlüssel.)

Keine Kommentare

  • Die beiden Vorschläge zum Schluß hören sich gut an, greifen meiner Ansicht nach aber zu kurz.

    Ich glaube, dass man über Prism (und die Geheimdienste) erstaunt ist, ist möglicherweise von einem kleinem Mißverständnis verursacht worden.

    Der normale Zeitungsleser kriegt immer erzählt, dass es Diktaturen (das sind die anderen) und Demokratien (das sind natürlich wir) geben würde.

    Ich glaube das ist eine falsche Einteilung. Ich würde politische Systeme in stabile und instabile Systeme aufteilen. In den instabilen gibt es regelmäßig Aufstände und in den stabilen halt Überwachung, sanfte Beeinflußung der Massenmedien und ähnlich schöne Dinge.

    Der Anfang dieser schönen Dinge ist immer derselbe. Nämlich folgende Frage:

    Wie viele Gruppierungen haben wir eigentlich die sich gerne an die Macht putschen wollen?

    Dann wird flugs ein Geheimdienst gegründet und Maßnahmen ergriffen diese Gruppierungen unter Kontrolle zu halten.

    Dann kommen Politiker mit leicht paranoider Grundhaltung, die hinter jedem Baum einen Revolutionär wittern und dann wird das System Schritt für Schritt ausgebaut.

    Man sieht also die öffentliche Kontrolle der Geheimdienste ist nur eine der notwendigen Maßnahmen. Was ist denn in den USA passiert, als der CIA immer mehr ins Rampenlicht der Öffentlichkeit gerückt ist man hat den NSA gegründet. In Rußland hat es dasselbe Spielchen mit dem KGB gegeben.

    Das Problem liegt meiner Ansicht nach daran, dass das Streben nach Macht bei Leuten besonders stark ausgeprägt ist, die – sagen wir mal – problematisch sind. Die Geheimdienst sind natürlich ein Problem, aber nicht das einzige.

    Das heißt, es muß Schluß sein mit der Politik der verschlossenen Türen. Wir brauchen nicht nur für Geheimdienste eine öffentliche Kontrolle, sondern auch für unsere Politiker.

    Nur bleibt da ein Problem. Die Öffentlichkeit hat in der Regel nicht die Sachkenntnis diese Kontrollfunktion wahrzunehmen. Man ist also auf Leute angewiesen, die man für diese Aufgabe deligiert. Und da schließt sich der Kreis dann.

    Ich denke die Lösung für dieses Problem sehen wir gerade in Realzeit. Nämlich das Internet und die interessanten Möglichkeiten des gedanklichen Austausches, die das Internet in einem Umfang ermöglicht wie kein anderes Kommunikationsmittel vor ihm.

    Das lustige daran ist doch, dass Manning und Snowden mit Hilfe des Internets den Spieß rumgedreht haben. Jetzt sind es die Geheimdienste die beobachtet werden und nicht umgekehrt.

    Was man Manning und in Zukunft möglicherweise Snowden antut ist natürlich weniger lustig. Aber irgendwie auch kennzeichnend für die paranoide Grundstruktur der Damen und Herren in der Politik.

  • Ja, Verschlüsselungstechniken antworten auf politische Probleme. Diese haben sich ihrerseits aber auch schon in Technologien eingeprägt, nämlich als Nicht-Verschlüsselung-by-default.

    „Digitale Selbstverteidigung“ zu empfehlen, halte ich deshalb für notwendig. Aber sie zeigt auch auf eine Krux: Wir kommunizieren im Internet individuell, jeder auf eigene Art, mit eigener Softwareausstattung, über eigene Dienste. So individuell wir kommunizieren, so individuell müssen derzeit die Maßnahmen aussehen, die wir ergreifen, um einen gewissen Grad von Privatheit zu erzielen. „Digitale Selbstverteidigung“ als Lösung zu propagieren, erkennt insofern leider indirekt die Individualisierung des Problems an.
    Da sich aktuell keine breiteren Lösungen abzeichnen – sei es eine internationale politische Einschränkung des geheimdienstlichen Gebarens oder seien es Unternehmen, die Sicherheitsgarantien geben – sollten wir nach Wegen suchen, wie sich die Individualisierung des Problems abmildern lässt.
    Ich bin froh um jede Verschlüsselungsanleitung im Internet, um jedes How-to. Es ist wichtig, dieses Wissen zu verbreiten. Aber wer sich mit IT-Sicherheit auskennt, sollte erwägen, einen Schritt weiter zu gehen und seinem Umfeld Hilfsbereitschaft signalisieren. Was wir brauchen, sind nicht (nur) Kryptopartys, bei denen man sich selbst feiert, sondern „digitale Nachbarschaftshilfe“. Das wäre Wissens- und Wertetransfer in einem, weil es mit Gemeinschaft zu tun hat und das Problem nicht vollständig an den Einzelnen zurückgibt wie der alleinige Verweis auf ein Online-Tutorial.